Välkommen till veckans Tech Talk. I detta avsnitt tar vi upp flera viktiga cybersäkerhetshändelser – med start i Sverige, där en omfattande driftstörning hos BankID under helgen påverkade miljontals användare och visade hur sårbart vårt digitala samhälle är.
Vi tittar också på nya attacker från statsstödda aktörer, däribland Lazarusgruppens försörjningskedjeattacker i Sydkorea och en spektakulär stöld av kryptovaluta till ett värde av 137 miljoner dollar riktad mot TRON-användare.
På den defensiva sidan presenteras en ny satsning på att automatisera Zero Trust-modellen i vårdmiljöer, medan färsk statistik visar att hela 159 kända sårbarheter utnyttjades aktivt under årets första kvartal.
Vi avslutar med en titt på Rysslandskopplade APT29:s senaste malwarekampanj, där ett nytt verktyg vid namn “GrapeLoader” används för att leverera skadlig kod under radarn.
Nu kör vi!
1. BankID låg nere – störningen påverkade kritiska tjänster i hela Sverige
På kvällen tisdagen den 23 april drabbades Sverige av ett omfattande driftstopp i BankID, den mest använda e-legitimationstjänsten i landet. Under flera timmar kunde användare inte logga in på banker, myndigheter, vårdtjänster och andra viktiga plattformar.
De första felrapporterna började strömma in vid 20:36, och strax före 21:00 hade över 1 000 anmälningar registrerats på Downdetector. Störningen påverkade både BankID-appen och elektronisk identifiering, vilket ledde till utbredda inloggningsproblem.
Vid 00:09 meddelade BankID att alla tjänster åter var i drift, men någon teknisk förklaring till vad som orsakat avbrottet har fortfarande inte kommunicerats.
Varför det är viktigt
BankID är ryggraden i Sveriges digitala identitetsinfrastruktur. Ett avbrott som pågår i flera timmar – dessutom under kvällstid när många använder tjänster – visar hur sårbart systemet är när en så central aktör går ner.
Det här är ett tydligt exempel på riskerna med centralisering. Ett enda fel kan snabbt få konsekvenser för banker, vård, e-handel och offentlig sektor – och drabba miljontals användare samtidigt.
För organisationer understryker detta behovet av att ha reservlösningar för inloggning, alternativa autentiseringsmetoder och tydliga kommunikationsrutiner vid störningar. För Sveriges digitala infrastruktur i stort väcker händelsen frågor om beredskap, transparens och ansvarstagande inför framtida incidenter.
2. Lazarus attackerar sex sydkoreanska företag via sårbar säkerhetsplattform
Den ökända nordkoreanska hackergruppen Lazarus har återigen genomfört en sofistikerad cyberattack – den här gången genom att utnyttja en sårbarhet i säkerhetsprogramvaran WIZVERA VeraPort, som används av många företag i Sydkorea.
Enligt uppgifter ska sex olika sydkoreanska företag ha blivit komprometterade via denna leverantörskedjeattack, där angriparna använde det komprometterade uppdateringssystemet för att distribuera skadlig kod direkt till företagens klienter.
Attacken genomfördes med hjälp av en tidigare okänd skadevara, som säkerhetsforskare från AhnLab nu kallar för “QuiteRAT”. Denna variant kan fjärrstyra infekterade system och är en vidareutveckling av Lazarus äldre verktyg, men med modernare teknik och mer svårupptäckt beteende.
Det mest oroande med attacken är att angriparna lyckades infiltrera system som var beroende av programvaran för säkerhetsändamål – ironiskt nog genom att kapa själva plattformen som skulle skydda användarna.
Varför det är viktigt
Lazarus-gruppens angrepp visar tydligt att leverantörskedjan är en av de mest utsatta attackytorna i dagens digitala landskap. När hotaktörer lyckas kompromettera uppdateringssystem i tredjepartslösningar, kan de sprida skadlig kod brett – och ofta obemärkt.
Detta är särskilt allvarligt när det handlar om säkerhetsmjukvara, eftersom användare ofta litar blint på att dessa system skyddar snarare än utsätter dem för risk. Attacken understryker vikten av att verifiera både källan och integriteten på all mjukvara som installeras, även när den kommer från etablerade leverantörer.
För organisationer innebär detta ett behov av att kartlägga beroenden i sina IT-miljöer, noga granska tredjepartslösningar och implementera flerlagers skydd mot attacker som kan komma via till synes legitima kanaler.
Angreppet påminner oss också om att statsstödda grupper som Lazarus fortsätter att utveckla sina metoder och verktyg. De är inte bara uthålliga – de är strategiska, målinriktade och mycket välfinansierade.
3. Automatiserad Zero Trust-modell för vården – ett konkret steg mot säkrare sjukhusmiljöer
En ny forskningsrapport presenterar ett praktiskt sätt att införa Zero Trust-säkerhet inom vårdsektorn, med fokus på automation och skalbarhet. Bakom rapporten står forskare från Georgia Tech och Columbia University, som tillsammans tagit fram ett ramverk vid namn POLICYMIS (Policy Monitoring and Inference System).
POLICYMIS är utvecklat för att hjälpa sjukhus att tillämpa principen om minsta privilegieåtkomst, utan att behöva belasta IT-personal med tidskrävande manuell policyskapande.
Vården står inför unika säkerhetsutmaningar. Dels hanteras stora mängder känslig patientdata, dels finns en komplex teknisk miljö med både moderna system och äldre medicinteknisk utrustning. Zero Trust har länge setts som en lösning, men implementationen har ofta varit för tung och komplex för att bli verklighet i praktiken.
POLICYMIS försöker lösa detta genom att analysera användarbeteende och loggar för att automatiskt kartlägga åtkomstmönster. Systemet justerar sedan behörigheter löpande baserat på behov, utan att kräva manuell hantering av varje policy.
Varför det är viktigt
Vården är ett av de mest utsatta men minst skyddade områdena inom cybersäkerhet. När både liv, patientdata och samhällskritiska system står på spel, behövs lösningar som är både säkra och praktiskt genomförbara.
Det är inte realistiskt att IT-avdelningar inom vården ska kunna hantera tusentals manuella åtkomstregler. POLICYMIS visar att det faktiskt går att implementera Zero Trust-modeller på ett sätt som är anpassat för verkligheten, där resurser ofta är begränsade och säkerheten ändå måste vara på topp.
På SidiaTech ser vi detta som ett viktigt steg mot att föra samman avancerad säkerhetsteknik med de sektorer som behöver den mest. Zero Trust måste vara mer än ett ideal – det måste gå att införa i praktiken. POLICYMIS är ett exempel på hur det kan bli möjligt.
4. 159 kända sårbarheter utnyttjades aktivt – bara under årets första kvartal
En ny rapport från cybersäkerhetsföretaget ReliaQuest visar att 159 kända sårbarheter (CVEs) aktivt utnyttjades under Q1 2025. Det innebär att cyberkriminella har använt offentligt dokumenterade svagheter i mjukvara och system för att genomföra verkliga attacker – mot både myndigheter och företag.
Rapporten kartlägger sårbarheter i produkter från leverantörer som Microsoft, Google, Cisco, Atlassian och Adobe, och visar att en majoritet av dessa CVE:er var tillgängliga i offentliga datakällor sedan månader – eller till och med år – tillbaka. Ändå hade de inte åtgärdats i många miljöer.
Den mest utnyttjade sårbarheten under kvartalet var CVE-2023-23397, en allvarlig bug i Microsoft Outlook som gör det möjligt att stjäla NTLM-hashar utan någon användarinteraktion, en teknik som ofta används för att sprida skadlig kod i interna nätverk.
Varför det är viktigt
Att så många redan kända och dokumenterade sårbarheter fortfarande utnyttjas aktivt visar att cybersäkerhet handlar lika mycket om att följa upp det vi redan vet – som att upptäcka nya hot. I många fall finns uppdateringar och patchar redan tillgängliga, men organisationer har inte hunnit eller prioriterat att applicera dem.
Detta understryker vikten av att ha ett strukturerat sårbarhetshanteringsprogram, inklusive tydliga rutiner för patchning, prioritering av risker och kontinuerlig övervakning. Det räcker inte att veta att ett system är sårbart – åtgärden måste genomföras i tid.
På SidiaTech lyfter vi ofta fram att ”kända sårbarheter” är den mest förbisedda attackytan. Det är inte de mest avancerade zero-day-attackerna som gör störst skada i praktiken – det är de gamla, otätade hålen som lämnas öppna för länge.
5. Nordkoreanska hackare stjäl 137 miljoner dollar från TRON-användare – årets största kryptokupp hittills
I vad som nu beskrivs som den största kryptostölden under 2025 hittills, har statsstödda angripare kopplade till Nordkorea lyckats stjäla motsvarande 137 miljoner amerikanska dollar från användare på TRON-blockkedjan. Bakom attacken står den ökända Lazarus-gruppen, som länge varit aktiv i cyberoperationer riktade mot kryptovalutor och finansiella plattformar.
Enligt rapporter ska angriparna ha komprometterat flera privata nycklar kopplade till högvärdesplånböcker. Därefter fördes de stulna tillgångarna snabbt genom en kombination av kryptomixers och decentraliserade börser för att försvåra spårning. Säkerhetsforskare misstänker att angriparna hade tillgång till plånboksinfrastrukturen under en längre tid innan stöten genomfördes.
Denna attack utgör ännu ett exempel på hur Nordkorea utnyttjar cyberkriminalitet för att finansiera sina sanktionerade vapenprogram. Trots internationella sanktioner har kryptovalutamarknaden, med sin anonymitet och brist på reglering, fortsatt att vara en attraktiv kanal för dessa operationer.
Varför det är viktigt
Stölden visar tydligt att kryptoplattformar är högriskmål för avancerade aktörer, särskilt de som opererar på uppdrag av nationalstater. Ju mer digitala tillgångar används, desto viktigare blir det att skydda plånböcker, nycklar och infrastruktur på ett professionellt och genomtänkt sätt.
Både för privatpersoner och organisationer i kryptobranschen är detta en kraftig påminnelse om att det krävs starka nyckelhanteringsrutiner, flerlagersäkerhet och kontinuerlig övervakning för att skydda tillgångarna. När en privat nyckel väl är röjd är skadan ofta omedelbar och oåterkallelig.
På SidiaTech uppmanar vi alla aktörer inom blockchain och fintech att prioritera säkerheten från början. Detta är inte längre bara en fråga om teknik – det handlar om att skydda sig mot världens mest resursstarka och strategiska cyberhot.
6. Rysslandskopplade APT29 använder ny skadevara – “GrapeLoader” smyger under radarn
Cybersäkerhetsforskare har avslöjat att den ryska statsstödda hackergruppen APT29 – även känd som Cozy Bear – använder ett nytt, avancerat skadligt verktyg kallat GrapeLoader i pågående spionagekampanjer.
APT29 är sedan tidigare välkända för bland annat SolarWinds-attacken och för att ha infiltrerat västerländska myndigheter genom långsiktiga och diskreta intrång. Den senaste upptäckten bekräftar att gruppen fortsätter att utveckla sina verktyg för att undvika upptäckt.
GrapeLoader är en modulär och lättviktig skadevaruladdare som används för att injicera ytterligare skadlig kod i komprometterade system. Den är designad för att vara diskret och flexibel, och kan smyga förbi traditionella antiviruslösningar samtidigt som den ligger vilande tills den aktiveras.
Till skillnad från många andra skadevaror skriver GrapeLoader inga filer till disk, utan körs helt i minnet. Det gör den mycket svår att upptäcka med konventionella metoder. Forskare har sett att den sprids via phishing-mejl och infekterade dokument, två taktiker som APT29 ofta använder.
Varför det är viktigt
APT29 är fortfarande en av de mest avancerade och uthålliga statsstödda hotaktörerna riktade mot västerländska regeringar och känsliga verksamheter. Att de nu använder GrapeLoader visar att deras operationer är aktiva och anpassade till dagens säkerhetslandskap.
Malware som körs direkt i minnet är betydligt svårare att upptäcka och analysera, särskilt för organisationer som inte använder avancerade EDR-verktyg (Endpoint Detection and Response). Detta gör det nödvändigt att gå bortom klassisk antivirus och satsa på beteendebaserad hotdetektering och realtidsanalys.
På SidiaTech ser vi detta som ytterligare en påminnelse om att statsstödda cyberhot inte är en framtida risk – de pågår här och nu. Organisationer inom offentlig sektor, kritisk infrastruktur eller försvar måste ha robusta försvar på plats, inklusive medarbetarträning och avancerad hotövervakning.
